Аудит безопасности сайта на Joomla

Наша компания занимается разработкой, поддержкой и обслуживанием сайтов любой сложности. От простых одностраничных сайтов до масштабных кластерных систем построенных на микро сервисах. Опыт разработчиков подтвержден сертификатами от вендоров.

8+Лет на рынкеподробнее 900+Реализованных проектовподробнее 100+Разработчиков в штатеподробнее 19+Партнеровподробнее

Разработка и обслуживание любых видов сайтов:

Информационные сайты или веб-приложения

Сайты визитки, landing page, корпоративные сайты, онлайн каталоги, квиз, промо-сайты, блоги, новостные ресурсы, информационные порталы, форумы, агрегаторы

Сайты или веб-приложения электронной коммерции

Интернет-магазины, B2B-порталы, маркетплейсы, онлайн-обменники, кэшбэк-сайты, биржи, дропшиппинг-платформы, парсеры товаров

Веб-приложения для управления бизнес-процессами

CRM-системы, ERP-системы, корпоративные порталы, системы управления производством, парсеры информации

Сайты или веб-приложения электронных услуг

Доски объявлений, онлайн-школы, онлайн-кинотеатры, конструкторы сайтов, порталы предоставления электронных услуг, видеохостинги, тематические порталы

Это лишь некоторые из технических типов сайтов, с которыми мы работаем, и каждый из них может иметь свои специфические особенности и функциональность, а также быть адаптированным под конкретные потребности и цели клиента

Предлагаемые услуги

Показано 1 из 1 услугВсе 2065 услуг

Аудит безопасности сайта на Joomla

Средняя

~2-3 рабочих дня

Часто задаваемые вопросы

Наши компетенции:

Бесплатная консультация

Закажите бесплатную консультацию если у вас есть вопросы. Профильный специалист вас проконсультирует.

Расчет стоимости

Если вы знаете, что именно вам нужно разработать, или у вас уже есть готовое техническое задание.

Этапы разработки

Последние работы

Разработка сайта компании B2B ADVANCE
1214
Разработка веб-приложения для компании FEEDME
1161
Разработка веб-сайта для компании БЕЛФИНГРУПП
852
Разработка интернет магазина для компании FURNORO
1041
Разработка веб-приложения для компании Enviok
823
Разработка веб-сайта для компании ФИКСПЕР
815

Показать больше работ

Аудит безопасности сайта на Joomla

Joomla имеет централизованную систему Security Advisories (JSST), но устаревшие расширения и неправильная конфигурация — частые источники уязвимостей.

Автоматизированное сканирование

# Joomscan — специализированный сканер
perl joomscan.pl -u https://yourdomain.com

# OWASP ZAP пассивное сканирование
zap-cli quick-scan --self-contained --spider https://yourdomain.com

# Nikto — общий веб-сканер
nikto -h https://yourdomain.com

Контрольный список

Версии:

Joomla core — актуальная версия
Все расширения — актуальные версии
PHP 8.1+, устаревшие версии EOL

Конфигурация:

// configuration.php — обязательные параметры
public $debug = '0';                    // не показывать ошибки
public $error_reporting = 'none';       // или 'simple'
public $force_ssl = '2';               // принудительный HTTPS
public $sef = '1';                     // ЧПУ
public $robot = 'noindex, follow';     // для staging
public $cookie_httponly = '1';         // защита куки
public $cookie_secure = '1';           // только HTTPS
public $lifetime = '15';               // минуты — время сессии
public $session_handler = 'database';  // сессии в БД (не файлы)

Файловые права:

find /var/www/yourdomain.com -type f -name "*.php" -perm /o+w
find /var/www/yourdomain.com/configuration.php
stat /var/www/yourdomain.com/configuration.php
# Должно быть 444 или 400

# Проверить PHP в папке с загрузками
find /var/www/yourdomain.com/images -name "*.php"
# Если есть — признак взлома

Скрытие версии:

// В конце configuration.php
public $MetaVersion = '0';  // не показывать версию Joomla в мета-теге

В Nginx закрыть доступ к administrator/ с ограничением по IP:

location /administrator {
    allow 1.2.3.4;  # ваш IP
    deny all;
}

Проверка Extensions на уязвимости: Список уязвимых расширений: https://vel.joomla.org (Vulnerable Extensions List). Проверить все установленные расширения.

# Быстрая проверка через curl
curl -s https://vel.joomla.org/joomla-vel-json-feed | \
    python3 -c "import sys, json; data = json.load(sys.stdin); print([d['title'] for d in data['items']])"

HTTP-заголовки безопасности:

add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'";
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";

2FA: Проверить, включена ли двухфакторная аутентификация для администраторов.

Проверка кастомного кода

# SQL Injection в кастомных компонентах
grep -r "\\\$_GET\|\\\$_POST\|\\\$_REQUEST" administrator/components/com_custom/
grep -r "->query\|->loadResult" administrator/components/com_custom/ | grep -v "quoteName\|quote("

Сроки

Аудит безопасности Joomla-сайта — 1 день. Устранение выявленных проблем — 3–8 часов.